随着信息技术越来越多地被应用于银行的各项业务, 银行面临的信息技术安全隐患也在日益增多。银行卡及自助设备的大量使用,互联网和电子商务的迅猛发展都使银行系统遭受攻击的可能性大大增加。银行信息安全建设是一个复杂的系统工程,牵涉到技术和管理两个层面,在工作实践中笔者觉得有以下一些问题需要引起我们的重视和思考。
一、信息安全意识薄弱,安全观念尚未深入人心。对银行业信息安全来讲,首要的问题是观念和意识的问题。从管理层到员工, 能否意识到信息安全的重要性,知晓信息安全的基本内涵和在业务工作中的具体体现是很重要的。目前银行的管理层对信息安全应该说是非常重视的, 但是很多员工并不积极,甚至干脆把信息安全视为信息技术管理部门的事情,与自己关系不大。系统的方便性和安全性存在一定矛盾,使用者更在意的往往是方便性,忽视了安全性。在笔者看来,在银行信息安全问题上,最重要的并不是技术水平的高低,而是基本规范的落实程度和常见安全手段的应用程度。比如说密码问题,要求周期性修改和不要使用太简单的密码就是最基本的安全要求, 但员工在执行密码设定时往往嫌麻烦, 执行得不好,类似问题还有很多。对于这类问题,有的可以通过技术手段在一定程度上予以解决,比如强行设置修改期限,要求数字与字母的组合,过滤简单密码等等,但是最终效果仍取决于人的安全意识。信息安全观念的缺乏是银行安全意识淡薄的重要原因。
二、银行的信息数据管理存在安全漏洞。我行的生产系统大多应用在大型主机上, 操作系统也相对封闭,服务器端的信息储存相对安全,但很多信息数据在管理上存在较大的风险, 这些数据包括各种核心的业务报表、客户资料、办公文档、风险控制信息等等。这些信息广泛分布在银行内部客户端上,通过开放的计算机网络传送, 由于系统的安全漏洞较多,病毒容易侵入。办公场所的开放性以及与客户的合作,也容易导致外来人员进入银行内部网络窃取相关信息。管理信息的损失有时候比业务数据的损失后果更严重,这些数据的安全性尚未引起足够的重视,技术关注不够,可能会给银行带来潜在风险。
三、自助设备和网上银行的广泛使用增加了外部攻击的风险。由于自助设备和网上银行某种意义上是在“无人值守”的状态下长期运行,而且是由客户自主操作完成,这就给潜在的犯罪分子提供了更多的可乘之机,客户的安全知识不足,安全意识淡薄也会增加其账户风险,最终给银行带来损失。近来媒体曝光的犯罪案例往往与这两种系统有关,提醒我们必须加大这方面的技术投入,大力提升银行卡系统及网上银行的安全水准。
四、重视硬件/软件的投入而忽视管理投入。从系统的角度来看,加大安全方面的投入不完全是安全产品和工具的投入,还应包括策略、操作流程和应急处理机制等方面的投入。安全产品和工具的使用应有相应配套的流程管理机制,否则报警无人处理,入侵无人响应,效果并不好。但是要建立合理的流程管理机制也同样需要投资, 如流程资讯投资等等,这些投资和整个安全系统的完整性息息相关。但在目前的银行信息安全建设中,这方面的投入还不是很多,很多安全思路还局限在技术层面上。
总而言之,IT技术给银行业务带来巨大发展的同时, 也给我们带来了巨大的安全隐患和潜在风险。我们只有充分认识到加强信息安全保护的重要性和紧迫性, 才能不断完善信息系统的安全管理,适应新经济时代的挑战。
